[사물인터넷 보안 1] 보안 위협에 노출된 IoT
[사물인터넷 보안 2] 7대 부문 IoT 제품 및 서비스 보안 강화
사물인터넷 등 융합보안 침해사고에 따른 피해 규모는 올해 약 13조 4천억원에서 오는 2030년에 이르면 약 26조 7천억원에 달한다는 게 산업연구원의 분석이다. 체계적인 대책이 마련되지 않으면 안될 시점이다. 정부도 서둘러 관련 정책을 발표했다. 무엇이 문제이고, 어떻게 대응해야 하는지 그 내용을 살핀다.
사물인터넷(IoT)은 홈 가전, 의료, 교통 등 다양한 산업분야에 적용되고 있으며, 본격적인 시장 활성화가 진행 중이다. 이에 따라 시장도 매머드로 커지고 있다. 시장조사기관인 가트너에 따르면, 세계적으로 오는 2020년까지 인터넷에 연결되는 사물의 수는 약 260억개, IoT로 창출되는 부가가치는 약 1조 9천억 달러에 이른다.
그러나 IoT 활용분야는 우리 실생활의 모든 사물에 ‘직접 접목’되기 때문에, 기존 사이버 공간의 위험이 현실세계로 전이·확대되고 있다. 때문에, 사물인터넷 제품과 서비스의 보안 위협에 대한 우려가 최근 들어 급속도로 늘고 있다.
보안 위협에 노출된 IoT
사물인터넷 관련 전문기관이나 업체들은 IoT에서의 보안 위협에 경고하고 있다. HP는 지난해 IoT 디바이스의 70%가 암호화되지 않은 네트워크를 통해 데이터를 전송하는 것으로 조사됐다며 우려를 나타냈으며, 미국의 SANS 연구소도 보안 전문가 391명 대상 설문조사 결과, 3분의 2가 IoT 보안에 대해 우려하고 있다고 지적했다. 가트너 역시 22%의 기업이 IoT로 인해 새로운 위협에 직면할 것이라고 경고한다.
IoT 디바이스는 생산·판매 이후에 유지보수, 보안 업데이트 적용 등 사후 보안조치가 불가능하거나 높은 비용이 수반되고 있으며, 그 규모는 향후 더욱 커질 전망이다. 산업연구원은 IoT 등 융합보안 침해사고에 따른 피해 규모는 올해 약 13조 4천억원에서 오는 2030년에 이르면 약 26조 7천억원에 달할 것으로 전망하고 있다.
때문에 관련 업계는 실질적인 대책을 마련해야 한다고 한 목소리를 내고 있다. 정부는 이에 따라 8개 부문으로 이에 적극 대응한다는 전략이다. ▲7대 분야 IoT 제품 서비스 보안 내재화 ▲IoT 사이버위협 종합 대응체계 구축 ▲안전한 IoT 제품· 서비스를 위한 신뢰성 확보 ▲IoT 보안 9대 핵심 원천기술 개발 ▲IoT R&D 오픈 이노베이션 체계 구축 ▲IoT 보안 우수기업 발굴 육성 ▲IoT 보안 제품 · 서비스 수요 창출 ▲ICT와 보안이 결합된 맞춤형「IoT Security Brain」양성 등이다. 각 부문별로 자세히 살핀다.
IoT 보안 핵심 원천기술 개발
IoT 제품·서비스의 안전성을 강화하기 위해서는 디바이스, 네트워크, 서비스/플랫폼 등 IoT 3계층의 보안 관련 9대 핵심 원천기술 개발이 중요하다.
정부는 우선 IoT 디바이스의 핵심 원천기술을 개발하기 위해 CPU 성능, 전력상태 등을 고려한 경량 · 저전력 암호기술, 보안 콘트롤러 칩(SoC), 보안 운영체제의 개발을 추진한다. 암호기술을 IoT 서비스에 적용할 수 있도록 경량 ·저전력화하되, 특정 IoT 분야에 국한되지 않도록 개방형으로 개발한다는 전략이다.
올해부터 내년까지 다양한 IoT 서비스 개발을 위한 경량 암호 및 인증 보안 라이브러리를 개발키로 했다. 향후, 신규 개발된 경량 저전력 암호를 탑재하기 위한 SW 모듈을 개발, IoT 디바이스와 네트워크 플랫폼에 적용할 예정이다.
웨어러블 디바이스, 초소형 센서 등에 대한 위변조, 부채널공격을 방지하는 보안 콘트롤러 칩(SoC) 개발을 올해부터 10억여 원을 투입해 착수한다. 부채널공격은 IoT 디바이스에서 발생한 전자파, 전력소모량 등을 탐지·분석해 암호키를 탈취하는 해킹이다.
OS, 개인정보 등 디바이스 핵심자원에 대한 비인가 접근 차단, 위변조 방지 기능 등이 내재된 보안 운영체제인 Secure OS를 올해부터 개발에 들어간다. 스마트 경량 IoT 디바이스용 운영체제 보안 핵심 기술이 대표적인 것으로 내년까지 진행되며 올해만 27억원을 투입한다. 펌웨어 위변조 탐지, 디바이스 고유 식별정보 검증 등 IoT 보안 OS의 핵심인 경량 보안커널 기술을 포함한다.
IoT 네트워크 부문에서는 이종 네트워크 간 안전한 통신을 위한 IoT 보안 게이트웨이, 침입 탐지·대응 기술과 원격 보안 관리·관제 기술을 개발한다. 신뢰/비신뢰 디바이스, 이종 네트워크 간 상호연결성과 보안통신을 제공하는 IoT 보안 게이트웨이 개발을 내년부터 추진한다. IoT 보안 게이트웨이는 IoT 서비스 분야별로 달리 요구되는 디바이스 간 연결 통신 방식인 WAVE, AllJoyn 등과 트래픽 특성 등을 고려한 보안기능을 제공한다.
7대 IoT 분야별로 네트워크 보안 특성을 반영해 순차적으로 개발하되, 홈·가전(디바이스 상호연결 통신보안, 사용자 프라이버시 보호), 의료(침입방지시스템), 자동차(침입방지시스템, 차량 내외부간 통신보안) 등 3대 IoT 분야에 대해 우선적으로 개발을 추진할 방침이다.
IoT 디바이스, 네트워크의 물리적/행위적 이상징후를 탐지해 실시간 대응하는 클라우드 기반 IoT 침입탐지 대응 기술도 내년부터 개발에 들어간다. IoT 디바이스 공격과 오동작 등을 클라우드에서 집중 처리·분석·판단해 실시간 공격 탐지가 가능한 ‘소프트웨어 정의 네트워크’ 기반의 동적 침입방지기술이다. 이와 함께 무선기기의 보안 상태를 모니터링해 보안SW, 규칙, 정책 등을 자동으로 업데이트하는 IoT 원격 보안관리 관제 기술을 2016년 개발에 착수한다.
IoT 서비스 환경과 관련, 각종 IoT 서비스 환경에 적합한 스마트 인증, IoT 프라이버시 보호기술, IoT 보안솔루션 기술을 개발한다. 올해부터 생체정보를 이용해 사용자 인증과 디바이스 접근권한 관리기능을 제공하는 스마트 디바이스용 인증기술을 개발한다.
전통적인 PKI 인증 기술 등에서 벗어난 IoT 환경에 특화된 경량 PKI 인증 기술개발 등이 필요하며, 스마트 디바이스용 박막 타입 지문센서 모듈과 프라이버시 보호 응용 소프트웨어 기술도 핵심 개발 요소이다. 필름 형태의 초음파식 박막형 센서와 저전력 H/W 모듈 및 IC카드 기반 프라이버시 보호형 모바일 지문인식기술을 활용한다.
IoT 서비스 분야별 기술특성인 프로토콜, 요구표준 등을 고려해 최적화된 IoT 보안 솔루션을 내년부터 개발에 들어갈 예정이다. 개인정보· 프라이버시 보호를 위한 암호화, 차량용 고속 보안통신, 고가용성 ·실시간성이 보장되는 접근제어 등이 포함된다.
비정형 IoT 빅데이터를 실시간으로 분석해 민감정보 노출 위험을 탐지 제거하는 프라이버시 보호기술은 오는 2017년부터 개발에 착수한다. 이용자 위치 및 이용내역 추적을 방지하기 위해 익명화된 ID 기술을 적용하는 이용자 신원 및 위치정보 은닉 기술을 활용한다.
IoT R&D 오픈 이노베이션 구축
빠르게 변화하는 IoT 보안기술 시장에 대한 R&D 적시성을 강화하고 보안 선도국가와의 국제 공동연구를 통해 글로벌 역량을 높인다는 게 정부의 기본 전략이다.
이를 위해 IoT R&D 오디션 프로그램을 도입하고, IoT 보안 R&D 국제협력과 표준화를 추진한다. IoT R&D 오디션 프로그램의 경우, IoT 기술 및 시장 요구사항에 유연한 대응을 위해 동일 기술/주제로 다자간 연구개발 수행 후, 연차별 평가를 거쳐 한 곳을 선정해 집중적인 연구개발 지원한다.
‘다양한 IoT 서비스 개발을 위한 경량 암호/인증 보안 라이브러리 개발 사업’ R&D 과제에 대해 우선 추진한다. 2개 사업자를 선정해 올해에는 사업자별로 2억원씩 지원한 후, 평가를 거쳐 선정된 1개 사업자 대상에게 내년에는 4억원으로 확대 지원한다.
IoT R&D 국제협력 및 표준화를 위해 미국, 유럽 지역의 IoT 보안 선도기술 및 실용화 기술 보유기관 등과 국제협력을 통해 R&D IoT 보안분야 글로벌 역량을 강화할 방침이다. IoT 디바이스의 시스템 SW와 무선 프로토콜의 보안 취약점 자동 분석기술 및 통합 플랫폼 개발을 위한 한·미·EU 공동연구를 추진한다.
우리나라의 고려대· 한국인터넷진흥원, 미국 카네기멜론대, 영국의 옥스퍼드대, 스위스 ETH 등이다. ETRI와 미국 UC 버클리, 조지 메이슨대학 등과 함께 IoT 디바이스를 외부 서비스 거부 공격으로부터 방어하기 위한 시큐어 하드웨어 컨테이너 기술 개발을 위한 한·미 공동연구도 추진한다.
홈·가전, 교통, 의료 등 IoT 분야별 시장수요와 기술 경쟁력을 고려 IoT 보안기술의 국제 표준화도 내년부터 적극 나서기로 했다. 특히, IoT 디바이스간 인증, 경량·저전력, 보안통신 기술 등 원천기술 개발을 통한 국제표준 확보(ISO, ITU-T, ETSI 등) 및 표준화 연구과제에 주력한다는 전략이다.
김유활 기자 (yhkim@hellot.net)
